Nehmen wir mal an ich betreibe eine Webseite und setze ein Consent-Tool ein, welches externe Dienste, Medien und Analyse-Tools ordnungsgemäß erst dann lädt und ausführt, wenn eine Einwilligung erteilt wurde. Außerdem wurden alle direkt von mir verwendeten externen Dienste, Medien und Analyse-Tools sorgfältig in der Datenschutzerklärung aufgeführt und erklärt. Quasi mustergültig.
Was ist wenn ein von mir verwendeter Dienst seinerseits ebenfalls externe Dienste verwendet? Zum Beispiel Google Maps, wo Google Fonts eingesetzt wird. Muss ich sämtliche von mir verwendeten Dienste regelmäßig prüfen um herauszufinden welche externen Dienste sie verwenden, welche externen Dienste die externen Dienste verwenden (usw usw usw) und sie dann bei mir in der Datenschutzerklärung nachtragen? Reicht ein Verweis auf die Datenschutzerklärung des direkt von mir verwendeten Dienstes nicht?
Gibt es Unterschiede zwischen einem Google-Dienst (zB. Maps), der einen anderen Google-Dienst (zB. Fonts) verwendet und einem Nicht-Google-Dienst (zB. ein Widget per JS-API oder iFrame), der einen anderen Google-Dienst (zB. Fonts) oder einen anderen Nicht-Google-Dienst (zB. Fonts.com) verwendet?
Gibt es Regelungen dazu in Gesetzestexten, die zitiert werden können?
Dienste die du einsetzt, sollten dir ja soweiso eine Liste von ihren Lieferanten bereitstellen (Unterauftragnehmer / Subprocessor). Somit hast du Kenntnis wen sie einsetzen. Du hast auch das Recht zu erfahren warum, und auf welcher Grundlage bzw. Instrumenten dies erfolgt. Du kannst also prüfen ob diese aus deiner Sicht in Ordnung sind.
Und ja deine Dienstleister regelmäßig zu prüfen sollte Standart sein, aber das ist schon schwer. Trotzdem ist das eine der Aufgaben eines DSBs oder wenn es keinen gibt die des Verantwortlichen.
In deiner DSE musst du nicht alle Sub-Sub-Sub-Processor aufführen. Hier reicht es zu sagen weitere Infos finden sie in der DSE meines Dienstleisters LINK.
Unterschiede sehe ich nicht. Mit der Ausnahme das wir hier bei dem einen das Thema Drittlandstransfer haben beim anderen ggf. nicht.
PS: ich weiß das es nicht DSE heißt sondern Datenschutzhinweise (aber DSE ist der Begriff der sich eingebürgert hat)
Ich glaube das ist beim Werbetracking gar nicht möglich, weil da vieles ad hoc passiert. Da lädt ein Script ein anderes und das wieder eines usw.
Wenn man z. B. Seiten wie bild.de oder spiegel.de mit den DevTools anschaut, kann man manchmal 10 Stufen hintereinander festellen. Zum Glück aber nur, wenn man die Einwiligung im Cookie-Banner erteilt.
Ich dachte da aber eher an Fälle der Beauftragung von Dienstleistungen (CRM Datenbank, Call Center etc. die dann ihrerseits Dienstleister nutzen z.B. AWS, Datenbanken etc.)
In einem “ordentlichen” Auftragsverarbeitungsvertrag sind üblicherweise vorhandene Unterauftragsverarbeiter mit angegeben…
Wenn Drittanbieter direkt in eine Webseite eingebunden sind und diese wiederum andere Mediendienste einbinden, sollte dies bei einem technischen Check der Verbindungen auch festzustellen sein.
Wenn ich als Webseitenbetreiber auf meiner Webseite also einen Ausschnitt von Google Maps mit der JavaScript API einbinde, müssen entweder ich selbst oder mein evtl. Datenschutzbeauftragter durch “ausprobieren” prüfen welche Inhalte Google Maps lädt und dann alle einzeln in der Datenschutzerklärung aufführen, als hätte ich sie selbst direkt in Verwendung?
Wenn aber die von Google Maps geladenen zusätzlichen Inhalte weiter zusätzliche Inhalte laden, dann muss ich sie nicht mehr aufführen?
Wie kann denn eine Privatperson für die kostenlose Einbindung von zB. Google Maps mit Google einen “ordentlichen” Auftragsverarbeitungsvertrag abschließen?
Edit: Ich habe dazu einen Beitrag bei e-Recht24 gefunden. Das scheint über die Google Cloud zu gehen. Ich schaue nun ob ich weitere Infos dazu finde, wäre dennoch für jeden Tipp dankbar.
Nutzt die Privatperson Maps nur um ihren Freunden eine Anfahrtsbeschreibung zur Familienfeier zukommen zu lassen? Oder dient Maps der Förderung eines werbenden Zwecks um Dienstleistungen anzubieten.
Im ersten Fall gilt die DSGVO garnicht da hier die Ausnahme greift. Sofern es geschäftlich ist, handelt es sich nicht mehr um eine Privatperson.